テクノロジー
製品
リソース
会社
日本語
テクノロジー
製品
ブログ
リソース
会社

感染した環境でAPT35 ‘Charming Kitten' を発見

Max Heinemeyer, Director of Threat Hunting | 2021年4月23日金曜日

APT35はCharming Kitten、Imperial Kitten、Tortoiseshellとも呼ばれる、10年近く活動している悪名高いサイバースパイグループです。2017年にHBOの「ゲーム・オブ・スローンズ」の脚本を盗んだ疑いで有名であり、昨年の米国大統領選挙への介入も疑われているこのグループは、北米および中東においてさまざまな組織や政府関係者に対して広範に攻撃を行っています。APT35はイランを拠点とする国家脅威アクターとの関連も指摘されています。

DarktraceはEvil CorpやAPT41を含む、多くの既知の脅威アクター、ならびに巧妙な攻撃グループによる、悪意のある、しかし分類されていない大量のアクティビティを日常的に検知しています。Cyber AIはサイバー攻撃を検知するのに事前に定義されたルール、シグネチャまたは脅威インテリジェンスに依存しないため、新しく、これまで知られていない脅威をしばしば検知します。

本ブログ記事では、中東地域の組織に対するAPT35による実際の攻撃事例を解説します。Darktraceがこのアクティビティを観測したのは昨年6月でしたが、調査が継続していることもあり、詳細な情報がコミュニティに公開されたのは最近になってからのことです。この事例は自己学習型AIの価値を2つの主要な点で示す興味深いケースです。

  • 「ローアンドスロー」型攻撃の識別:身を潜め、検知可能なアクティビティをほとんど行わないような攻撃者をどうすれば見つけることができるでしょうか?

  • シグネチャを使用せずに既に存在していた感染を検知:Cyber AIをアクティベートしたときに脅威アクターが既にシステム内にいた場合、どうなるでしょうか?

APT(Advanced Persistent Threat)の潜伏

Cyber AIがある企業のデジタルエステートに最初に導入されたとき、APT35はおそらくスピアフィッシングEメールを介して、1台の社内デバイスに既に感染していました。

感染したデバイスは継続的なコマンドアンドコントロール(C2)ビーコニングを除いて悪意あるアクティビティの兆候を全く示しておらず、攻撃者からの指示を数日に渡って待機していました。これが「身を潜めている」状態であり、ハッカーはシステム内に存在しているが、レーダーに引っかかることはなく、それは意図的に検知を回避しているか、あるいはこの組織にバックドアアクセスを得たことに満足し、別の標的に集中している場合が考えられます。

どちらにしても、セキュリティチームやセキュリティベンダーにとってこれは悪夢のシナリオです。APTがシステムに足掛かりを作り攻撃を続行するために待機しており、そのことが検知されていないのです。

感染したデバイスを見つける

Darktraceが最初にアクティベートされると、その組織独自の「生活パターン」を5営業日に渡り学習しました。この最初の短い学習期間を終えると、Darktraceは即座に感染したデバイスとC2アクティビティにフラグを立てました。

違反が見つかったデバイスはDarktraceが導入される前からビーコニングを行っていましたが、Cyber AIはデバイスを類似の動作パターンに基づいて自動的に「ピアグループ」としてクラスタ分けするため、このデバイスからの継続的なC2トラフィックを、より広範な、自動的に識別されたピアグループと比較して著しく異なるものと識別することができました。このデバイスと動作的に近いデバイスにはこれと少しでも似たような動きは全くなく、Darktraceはこのアクティビティを悪意あるものと判断し、C2ビーコニングであると識別しました。

Darktraceはシグネチャや脅威インテリジェンスを何ら使用することなく複数のレベルでAPT35のC2アクティビティを検知しました。アラートに反応した社内のセキュリティチームはすばやくこのデバイスを隔離し、Darktraceシステムを使ってデバイスを検証しそれ以上の偵察、水平移動あるいはデータ抜き出しが行われていないことを確認しました。

APT35 ‘Charming Kitten’ の分析

C2 が検知されると、Cyber AI Analyst は即座に感染したデバイスの分析を始めました。Cyber AI Analyst はそれぞれの環境において最も深刻なインシデントだけをハイライトし、代表的なレベル1およびレベル2 SOCタスクの多くを自動化します。これには、アラートの確認および各イベントの範囲および性質の調査が含まれ、トリアージまでの時間を92%短縮することができます。

図1:C2通信を観測したCyber AI Analystレポートの例

Darktraceから見て、無数の因子がこのC2アクティビティを際立たせていました。これらの小さな異常をすべてつなぎ合わせることにより、Darktraceはこの振る舞いを自律的に優先付け、その週で最も顕著なセキュリティインシデントに分類しました。

図2:APT35攻撃のC2検知のリスト例

コマンドアンドコントロールの接続先のいくつかは脅威インテリジェンスならびにオープンソースインテリジェンス (OSINT) に既知のものでした。たとえば、cortanaservice[.]com というドメインはAPT35の既知のC2ドメイン です。

しかし、既知の悪意あるドメインの存在が検知を保証するとは限りません。事実、この会社は非常に成熟したセキュリティスタックを備えていましたが、既にAPT35に感染していたことをDarktraceがアクティベートされるまで気づかなかったのです。

侵入の影響を評価する

侵入が確認された後は、その程度を理解することが重要です。たとえば水平移動が発生しているか、また感染したデバイスが一般的にどのような接続を行っていたかといったことです。アセット管理に完璧はありません。したがって侵入されたデバイスがどのような損害をもたらす恐れがあるかを組織が判断することは非常に難しい場合があります。

Darktraceはこの情報をリアルタイムに、鳥瞰的に提示し、この評価をシンプルに行うことができます。デバイスがどのサブネットに位置しているか、またその他のコンテキストについても即座にハイライトします。

図3:DarktraceのThreat Visualizerがデバイスの接続を表示

この情報に基づき、この組織はAPT35に感染していたのが社用のデバイスであることを確認しました。Darktraceはデバイスに関連した認証情報も表示しますので、侵入された可能性のあるアカウントについてもすばやく確認することができます。

図4:デバイスについての類似のおよび関連する認証情報

幸運なことに、このデバイスと関連していたユーザーアカウントは1つだけでした。

しかし感染したデバイスが持っていた詳細な権限レベルや接続関係、および最初に感染したデバイスから侵入がどの程度まで拡大した可能性があるかは、まだわかりませんでした。そこでデバイスのイベントログを確認すると、これらが数分のうちに明らかになりました。

まず、社内の接続のみにフィルタリング(インターネットに対する接続を除外)すると、デバイスの持っていた接続のレベルをかなり把握することができました。ざっと見たところ、このデバイスは確かに社内で一定レベルの接続関係を持っています。社内のドメインコントローラに対してDNSリクエストを送信し、135番および139版ポートを使って内部のNetBIOS接続に成功していました。

イベントログをさらにフィルタリングすると、このデバイスはRDP、SSH、TelnetあるいはSMBといった管理チャネルを使用していないことがこの時点で明らかになりました。これは、よく使われるチャネルを介した水平移動が行われていないことを強く示すものです。

しかしデバイスがその他の不審なアクティビティ、たとえばひそかな偵察活動や他の内部デバイスからのデータのステージングなどを行っていたかどうかの評価はこれよりも難しくなります。Darktraceではこれを迅速に評価する別の機能も提供しています。デバイスのネットワーク接続をフィルタリングして、通常とは異なる、あるいは新しい接続だけを表示することができます。

図5:デバイスイベントログで通常とは異なる接続だけをフィルタリングして表示

Darktraceは観測されたエンティティの一つ一つの接続をコンテキスト内で評価し、教師なし機械学習を使用してそれぞれの接続がどの程度通常と異なるかを判断します。新たな内部接続が1回だけ失敗していれば、これは密かな偵察活動かもしれません。あるいはSMBを使って不審な時間に新しい内部ロケーションに接続していれば、水平移動またはデータのステージングを暗示するものかもしれません。

フィルタリングして通常と異なる、あるいは新しい接続だけに絞り込むことにより、DarktraceのAIはさらなる手がかりを提供し、コンテキスト情報と可視性によりこれらを極めてすばやく調べることができます。

それ以上の不審な内部接続は見つからなかったため、APT35はその時点で潜伏中であったという仮説が補強されました。

前例がない、しかし防止不可能ではない

Darktraceの24時間、週7日の監視サービスである、Proactive Threat Notificationsを利用していれば、このインシデントにアラートが発行され、エスカレーションがされていたことでしょう。また、Darktrace Antigenaは、これに自律的に対処し、このデバイスに対して通常のアクティビティを強制し、普段の業務ワークフローを中断することなくC2トラフィックを阻止していたはずです。

次の攻撃がどこからやってくるか事前に定義しておくことは不可能です。APT 35は現在活動中の多くの高度な脅威アクターの1つに過ぎません。このように多様かつ変動の激しい脅威環境において、異常がどのような形で発生しようともそれらを特定し防御する教師なし機械学習はきわめて重要です。

このケーススタディではDarktraceが既に存在していた感染および「ローアンドスロー」型攻撃をどう検知するか、さらにDarktraceを使って侵入の範囲と程度をすばやく理解できることを紹介しました。

Cyber AI Analystはアトリビューションが公開される2週間前にAPT41を検知

感染したデバイスの4日間に渡るC2検知結果の概要

  • Compromise / Sustained TCP Beaconing Activity To Rare Endpoint
  • Compromise / Beaconing Meta Model
  • Compromise / Beaconing Activity To External Rare
  • Compromise / SSL Beaconing To Rare Destination
  • Compromise / Slow Beaconing To External Rare
  • Compromise / High Volume of Connections with Beacon Score
  • Compromise / Unusual Connections to Rare Lets Encrypt
  • Compromise / Beacon for 4 Days
  • Compromise / Agent Beacon

観測されたC2デスティネーション:

  • Cortanaservice[.]com、ポート443、ビーコン間隔100秒

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.